Adli Bilişim İnceleme Süreçleri ve Forensics Tool Kit FTK Kullanımı

1. ADLI BILIŞIM INCELEME
SÜREÇLERI
İsmail ŞEN – 168012723

2. ADLI BILIŞIM INCELEME SÜREÇLERI
El konulacak bilgisayarlardan veri almaktan tutun, bilgisayarı dondurmak, verileri kopyalamak, klonlamak
bilgisayarı kapatmak ve laboratuvara götürülmesine kadar süreçler çok titiz bir biçimde yerine getirilmeli ve
eldeki delillerden hiç birinin kaybolmaması sağlanmamalıdır. Bunlarla beraber yapılan tüm işlemler adımı
ayrıntılı bir biçimde dokümante edilmelidir. Temel süreçleri bütünü aşağıda listelenmiştir.
Kanıtların bulunduğu ortamın boşaltılması ve kamera ile sürecin takip edilmeye başlanması.
 Kanıtlar plastik eldivenler vasıtası ile gerekli bilgisayarın açılması, açılış sürecinin analizi, açılmışsa o anki
durumunun tayini, var olan kablosuz bağlantıların hemen tespit edilip kapatılıp kapatılmayacağına karar
verilmesi gerekli delil toplama işlemlerinin üstün yetenekli programlar vasıtası ile alınması, bilgisayarın
kapatılması süreçlerinin hepsi adli birimleri tarafından belirlenmiş sistematiğe göre yapılıp raporlanmalıdır.
 Elde edilen deliller programlar vasıtası ile incelenmeli gerekiyorsa şifre çözme yöntemleri kullanılmalıdır.
 Suçlarla ilgili gerekli ilişkilendirme çalışmaları yapılır, suç unsurları tespit edilir ve teknik anlamda raporlanır.
 Çıkartılan çalışma notları Adli birimlere teknik terimler kullanılmadan özet ve detay rapor olarak anlaşılır bir
biçimde sunulmalıdır.

3. DIJITAL DELIL NEREDE?
 Dizüstü yada Masaüstü Bilgisayarlar | Tabletler
 Harici Sabit Diskler
 CD/DVD/HD DVD/Blu-ray Media’lar
 USB Flash Memory’ler
 Fotokopi Cihazları | Faks | Printer’lar
 Taşınabilir Player’lar (Ipod/Zune/MP3 Player)
 Cep Telefonları, Çağrı Cihazları ve PDA’lar
 Hafıza Kartları
 Telesekreterler
 Diğer Elektronik Cihazlar
Yukarıda sayılan elektronik cihazların yanında, kredi kartı basma, çoğaltma, kopyalama cihazları (card
skimmer), cep telefonu klonlama cihazları, GPS’ler gibi suç ile ilişkili olabilecek bütün cihazlarda hem
delil içerebilirler hem de kendileri delil olabilirler.
Dijital delil her yerde…

4. Dijital Hedef Tespiti
Delillerin Güvenliği
Dosya Türleri ve Tespit
Veri Bulma ve Kurtarma
İlişkilendirme
Suç Unsurlarını Tespit
Etme
Adli Makama Yapılacak
Raporlama
Olaya İlk Müdahale Dijital Delil Toplama Dijital Veri Analizi Adli Raporlama
İnceleme Süreçleri

5. .01 | OLAYA ILK MÜDAHALE
 Tüm açılardan suç unsuru içeren bilişim sisteminin, sistemin bağlı olduğu ağa ait bağlantıların ve
ortamın fotoğrafları çekilmedir.
 Tüm bağlantılar etiketlenmelidir,
 Sistem bağlı olduğu ağdan ayrılmalıdır,
 Yapılan işlemler not edilmelidir,
 Bilgisayar kapatılmamalı, yeniden başlatma prosedürlerine dikkat edilmeli,
 Hiç bir delilin değişmediğinden veya kaybolmadığından emin olunmalı,
 Yedeklenecek disk şüpheli bilgisayar diskinden büyük olmalı,
 Sisteme sadece ilgili kişi erişmelidir.
 Veriler düzgün bir şekilde bit to bit klonlanmalıdır.
 İmajların dijital imza (hash) değerleri alınmalıdır.
Şüpheli bilgisayarından
yemeksepeti.com'a girilip,
yemek siparişi verilmemelidir.

6. .02 | DİJİTAL DELİL TOPLAMA
Kanıtların toplanması ve yeni kanıtların elde edilmesi aşamasıdır.
 İmajların gizliliği, erişilebilirliği ve bütünlüğü sağlanmalıdır. (CIA)
 Silinmiş verilerin yeniden kurtarılması ve şifrelenmiş verilerin şifre çözülmesi,
 Analizci doğu kanıtları bulabilmek için tüm dosyaları analiz etmelidir.
Normal dosyalar, Silinmiş dosyalar, Gizli dosyalar, Şifreli dosyalar, Şifre korumalı dosyalar, swap(geçici)
dosyalar, İşletim sistemi dosyaları
 Suç deliline göre, Video dosyaları, Mail dosyaları, PDF dosyaları, Uygulama dosyaları incelenmelidir.
En ufak detay bile,
en güçlü delil olabilir.

7. .03 | DİJİTAL VERI ANALIZI
 Analizler farklı bilgisayarda yapılmamalıdır,
 Bütünlüğü doğrulanmış veriler üzerinden analiz yapılmalıdır,
 Analiz sürecinde kullanılan her yazılım, donanın ve araç uygun bir şekilde ne amaçla
kullandıkları dâhil olmak üzere dökümante edilmelidir,
 Şüpheli bilgisayardan elde edilen tüm dosya, program, uygulama tarih ve saat bilgisi de
yazılarak kayıt altına alınmalıdır,
 Bir nesne listesi oluşturulmalı ve sürekli güncellenmelidir. (Keyword List)
 ‘unallocated’ , ‘slack space’, ‘file slack’ ya da ‘swap space’ gibi alanlar gözden kaçırılmamalıdır.
İnceleme aşamaları kaydedilmelidir.
Sizin belirlediğiniz adımları uygulayan
her uzman, o veriye erişebilmelidir.

8. .04 | ADLI RAPORLAMA
Adli bilişim sürecindeki son aşama toplanmış kanıtların adli makamlara sunulması aşamasıdır.
 Her şeyden önce kanıtların delil olarak kabul edilmesi için bulunan kanıtlar adli kurallara
uygun olmalı ve yasal örneklerden oluşmalıdır.
 Mahkemece kabul edilmesi için en büyük öncelik delillerin bütünlük ve doğruluğudur.
 Tüm deliller çok net ve açık olmalıdır.
 Tüm araştırma sonucunda verilecek raporda en başındaki süreç de dahil olmak üzere her bir
an raporlanmalı ve bu rapor da mahkemeye sunulmalıdır.
Adli makamlarca anlaşılabilir
olmalıdır.
Vpn, Ip, Vlan, Account, Exploit,
Rootkit gibi terimler adli merciler
tarafından anlaşılmamaktadır.

9. DELILLERIN MUHAFAZASI
Adli Bilişim Delili eğer fiziksel cihazlar ise;
 Saydam Statik Kutular gereklidir.
 Köpük korumalı delil kutuları en iyi koruma yöntemlerinden biridir.
 Büyük cihazlar için pat pat koruma ambalajlara sarılıp, saklanmalıdır.
 Cihazların güvenliği taşınırken sağlamak için uyarı etiketleri konulmalıdır.
CD’ler tutanakla
zımbalanmamalıdır!
En çabuk kaybolan delil,
dijital delildir.

10. ADLI DELIL ZINCIRI
Adli delillerin elden ele dolaşmasındaki en büyük risk, ilk alınan delilin sonradan değişikliğe veya
bozulmaya uğraması riskidir.
Dijital delil ilk alındığı andan itibaren, el değiştirirken mutlaka tutanak ile teslim alınmalı, tutanak
ile «hash imzaları kontrol edilerek» el değiştirmelidir.
Raporlama aşamasında adli mercilere, delillerin kimlerin elinden geçtiği, hangi işlemlerin
yapıldığı mutlaka sunulmalıdır.
Adli delil içeren bir diskin içine film atıp, taşınmamalıdır.
Delil Zinciri Örneği

11. İMAJ ALMA TUTANAĞI
Soruşturma bilgileri,
Mahkeme bilgileri,
Şüpheli bilgileri,
Alınan ekipman bilgileri,
Uygulanan işlem bilgileri,
Teslim ve tesellüm bilgileri

12. İMAJ ALMA
 Yazılımsal İmaj Alma
FTK, EnCase, GetData, ProDiscover, DD Imager, GuyMager.
 Donanımsal İmaj Alma
DigitalIntelligence, NanoForensic, Dfinews, InsectraForensic, ParalanStore,
TD1, LogiCube, SOLO, HardCopy, RoadMASSter

13. YAZILIMSAL MI? DONANIMSAL MI?
 Yazılımsal imaj alma uygulamalarında, disk bilgisayara bağlanmadan önce arada mutlaka
yazma önleyici (write blocker) bir aparat bulundurulmalıdır.
 Donanımsal imaj almak, ekstra bir yazma önleyici aparat gerektirmediğinden daha güvenli
olabilmektedir.
 Hız açısından, donanımsal imaj alma ile yazılımsal imaj alma arasında çok fark
bulunmamaktadır.
 İki yöntemde de amaç, delilin değiştirilmeden incelenebilecek birden fazla kopya haline
getirilmesidir.

14. TABLEAU TD2U

15. GIRIŞ ÇIKIŞ

16. DISK’TEN DISKE KLONLAMA
Bir diskten bir diske klonlama yapılabileceği gibi, bir diskten birden fazla diske de aynı anda
klonlama yapılabilir.

17. TARIH AYARLARI MENÜNERDEN NEREYE?

18. USB KAYNAĞINDAN HARDDISKE AKTARIM

19. USB’DEN USB’E DE AKTARIM YAPILABILIR

20. KOPYALANAN DİSKLERİN
MD5 VE SHA-1
İMZALARI

21. DİSK BİLGİLERİ
Gelen disk ile ilgili tutanakta yer alan,
Marka,
Model,
Seri Numarası,
Firmware Versiyonu,
Partition sayısı
Gibi değerler tutanakla karşılaştırılmalıdır.
Tutanaktaki değerlere uymayan bilgilerle karşılaşılması
Halinde ayrıca konu ile alakalı tutanak tutularak
Gerekli birimlere bildirilmelidir.

22. FTK ANALIZ AŞAMASI

23. YENI OLAY EKLEME
Olayın Adı,
Olayın kısa açıklaması,
Verilerin tutulacağı klasör
Gibi seçimler yapılarak yeni bir olay oluşturulur.

24. KANIT TÜRÜ
Hazır bir imaj,
İmaj dizini,
Dizinler,
Bireysel dosyalar,
Fiziksel dizinler,
Mantıksal dizinler.
Benim klonladığım bir disk, fiziksel bir cihaz olduğu
için Physicial Drive seçerek devam ediyorum.

25. SÜRÜCÜ SEÇIMI
Bilgisayara takılı olan fiziksel sürücüyü seçip devam
ediyorum.

26. KANIT YÖNETIMI
Fiziksel sürücünün yolu,
Benzersiz numarası veya adı,
Açıklaması,
Kanıt grupları,
Zaman dilimi
Seçimleri yapılarak, disk incelemeye geçilir.

27. DISKIN ANALIZI
Eklemiş olduğumuz fiziksel sürücüler, mantıksal
alanlar veya imajların FTK’ya aktarılması aşamasıdır.

28. İMAJ ALMA
Diski bilgisayara taktıktan sonra gerekirse
FTK üzerinden de istediğiniz formatta
imajı tekrardan bilgisayarınıza
alabilirsiniz.

29. SEKMELER
Explore:
İncelenecek diskin imajı eklendiğinde ağaç menü görüntülenir
Overview:
Bu sekmede ise her şey kategoriler halinde bulunur. Silinmiş dosyalar, uzantılarına göre dosyalar, türüne göre dosyalar gibi.
Email:
Bu sekme eklenen disk içerisindeki e-posta verilerini toplar ve size getirir.
Graphics:
Diskteki tüm görselleri filtreler uygulayarak farklı listelemeler yapabilirsiniz (silinenler-uzantılarına göre-boyutuna göre gibi)
Bookmark:
Raporlama alanıdır. Raporlamak istediğiniz item’ları add bookmark’tan ekleyebilirsiniz. Bookmark alanına girdiğinizde, delil olabilecek
dediğiniz dosyaları bir arada görebilirsiniz.
Live Search:
Disk içerinde ince aramalar yaparsınız. Bu aramalar; bir kredi kartı numara formatı , telefon numarası formatı, tarih formatı, kimlik numarası
formatı, plaka formatı olabileceği gibi kullanıma bağlı olarak sayısız seçenek sunacaktır.
Index Search:
Bu sekme ise daha çok kelime vs.. aramaya yarar. Silinmiş ya da silinmemiş tüm verileri süzer ve aradığınızı bulup size getirir. Nerden
bulduğu, ne zaman silindiği, nasıl şifrelendiği vb.. gibi detaylı bilgilerle elbette.
Volatile:
Burada ise bir bilgisayarın ram imajından-kopyasından alınan bilgiler süzülür ve incelenir. Harddisklerde yada silinen alanlarda
bulamayacağınız bir veriye burada da rastlayabilirsiniz.

30. EXPLORE
İncelenecek diskin imajı eklendiğinde ağaç menü
görüntülenir

31. OVERVİEW
Bu sekmede ise her şey kategoriler halinde bulunur.
Silinmiş dosyalar, uzantılarına göre dosyalar, türüne
göre dosyalar gibi.
Vaka bazlı gruplama,
Uzantı bazlı gruplama,
Kategori bazlı gruplama,
Label bazlı gruplama,
MetaInfo bazlı gruplama,
Özel Gruplamalar (CC, Phone, SSN)

32. E-POSTA
Bu sekme eklenen disk içerisindeki e-posta verilerini
toplar ve size getirir.
E-Posta incelemesi yapıldığında, bizden istenen
exploit barındıran e-posta dosyasının imaj içerisinde
yer almadığı görülmüştür.

33. GRAPHICS
Diskteki tüm görselleri filtreler uygulayarak farklı
listelemeler yapabilirsiniz (silinenler-uzantılarına
göre-boyutuna göre gibi)

34. BOOKMARK
Raporlama alanıdır. Raporlamak istediğiniz
item’ları add bookmark’tan ekleyebilirsiniz.
Bookmark alanına girdiğinizde, delil
olabilecek dediğiniz dosyaları bir arada
görebilirsiniz.

35. INDEX SEARCH
Bu sekme ise daha çok kelime vs.. aramaya yarar.
Silinmiş ya da silinmemiş tüm verileri süzer ve
aradığınızı bulup size getirir. Nerden bulduğu, ne
zaman silindiği, nasıl şifrelendiği vb.. gibi detaylı
bilgilerle

36. LIVE SEARCH
Disk içerinde ince aramalar yaparsınız. Bu aramalar; bir kredi kartı numara formatı , telefon
numarası formatı, tarih formatı, kimlik numarası formatı, plaka formatı olabileceği gibi kullanıma
bağlı olarak sayısız seçenek sunacaktır.
Örneğin;
<[1-2]?[0-9]?[0-9].[1-2]?[0-9]?[0-9].[1-2]?[0-9]?[0-9].[1-2]?[0-9]?[0-9]>
Bu pattern ile, diskin içinde yer alan tüm IP numaralarını bulabilirsiniz.

37. VOLATILE
Bir bilgisayarın ram imajından-kopyasından alınan
bilgiler süzülür ve incelenir.
Harddisklerde yada silinen alanlarda bulamayacağınız
bir veriye burada da rastlayabilirsiniz.

38. RAPORLAMA
Mahkeme ve dava bilgileri, tarih, yer, zaman bilgileri yazılmalıdır.
Kanaat ve tespitler birbirinden ayırılmalıdır.
Raporlamada teknik terimlerden kaçınılmalıdır.
Birden fazla suç içerecek konular ayrı paragraflarda yazılmalıdır.
İncelenen metaryaller ince ayrıntıyla yazılmalıdır.
Delilin bulunduğu yol detaylı yazılmalıdır. (Telefonun içindeki Sandisk 1 GB hafıza
kartı içerisinde (root/DCIM/00123.MP4 yolundaki video)
İşlemi A şahsı yapmıştır ifadeleri kullanılmamalıdır.
Rapor adli makama verilmeden bir başkası tarafından gözden geçirilmelidir.
«Silinmiş dosyalar» terimi, insanlar tarafından kasti mi silindi, yoksa uygulama
tarafından mı silindi, detaylandırılmalıdır.

39. TEŞEKKÜRLER
İsmail ŞEN
168012723
Adli Bilişim İnceleme Süreçleri
26.04.2017